Patch für gefährdeten Updater längst verfügbar?

Skypes zu aufwändige DLL-Lücke: Laut Entwicklern längst gepatcht [Update]

Der Skype-Updater hat eine schwere Sicherheitslücke. Microsoft kann aber „wegen zu viel Aufwand“ vorerst kein Bugfix liefern. Update: Der Patch sei längst da.

© WEKA Media Publishing GmbH

Skype hat seit Montagmorgen (21.09.2015) Probleme.

Ellen Kilbourne ist Leiterin des Skype Insider Program und hat im Support-Forum bekannt gegeben, dass es tatsächlich eine DLL-Sicherheitslücke im Installer des Messenger gegeben hat. Diese betraf Version 7.40 und vorherige Updates von Skype. In Version 8, die seit Oktober 2017 im Umlauf ist, sei das Problem behoben worden. Das ist verwirrend, da der Finder der Sicherheitslücke noch von einem ungenannten Microsoft-Sprecher selbst gehört haben will, dass Skype die Lücke habe (siehe Originalmeldung) und Microsoft sie erst mit einem großen Versions-Update beheben könne. Unklar ist jedoch, zu welchem Zeitpunkt der Sprecher diese Einschätzung gab. Erstmals gemeldet wurde die DLL-Lücke im Installer im September 2017, einen Monat später kam das Skype-8-Update. Publik gemacht wurde die Lücke am 9. Februar 2018. Wir gehen dem nach und halten Sie auf dem Laufenden.

Originalmeldung vom 14.02.2018:

Cyberkriminelle können Schadcode in den Updater von Skype einschleusen und erhalten so die Möglichkeit, einen PC vollständig aus der Ferne übernehmen zu können. Der Sicherheitsforscher Stefan Kanthak entdeckte dieses Leck und meldete es im September an Microsoft. Mittlerweile sind mehr als die üblichen drei Monate vergangen, die ein Unternehmen Zeit für ein Bugfix bekommt, bevor Informationen zu einem Sicherheitsleck publik gehen.

Skype nutzt ein eigenes Programm, um den Messenger-Client auf dem aktuellen Stand zu halten. Per „DLL-Hijacking“ (Dynamic Link Library) – also dem Übernehmen von Programmbibliotheken – können Cyberkriminelle das Update-Tool nun austricksen. Anstatt die richtigen Bibliotheken von Microsoft für das Update zu laden, erhält der unwissende Nutzer Schadcode.

Mit diesem kann der Angreifer Systemrechte erlangen. Systemrechte sind Administratorrechten übergeordnet – Kanthak beschreibt den Benutzerlevel „System“ gegenüber zdnet.com mit den Worten „Administrator auf Steroiden“. Mit Systemrechten haben Nutzer einen tieferen Zugang ins Betriebssystem und können entsprechend noch mehr Schaden anrichten.

Laut Kanthak ließe sich das Skype-Sicherheitsproblem sehr einfach ausnutzen. Er demonstrierte es mit Hilfe von zwei Kommandobefehlen, die ein Skript oder eine Malware zum Download einer entsprechenden, bösartigen DLL-Datei bewegten. Windows biete hier eine sehr große Oberfläche. Doch DLL-Hijacking sei nicht nur auf Windows beschränkt. Mac OS und Linux sind dafür ebenso anfällig.

Wie reagiert Microsoft?

Laut Microsoft sind die eigenen Entwickler in der Lage, derartige Angriffe zu reproduzieren. Allerdings ist die Wahrscheinlichkeit für einen Sicherheitspatch für aktuelle Versionen gering. Microsoft sagte Kanthak, dass eine Behebung des Sicherheitslecks einer „riesigen Überarbeitung des Codes“ bedürfe. Eher würden nötige Bugfixes in einer neuen Version von Skype zu finden sein. Immerhin verspricht Microsoft gerade, mit „allen Ressourcen“ an einem solchen Update zu arbeiten. Wann es erscheint, bleibt abzuwarten.

Was tun?

Wer an einem Rechner ohne Admin-Rechte sitzt, könnte sich sicher wähnen. Das ist aber nicht der Fall, wenn später ein Administrator zwecks genereller Updates auch eine Skype-Aktualisierung zulässt, die zuvor manipuliert wurde. Der einzig sichere Weg - ohne auf Skype verzichten zu müssen – wäre, Updates manuell von der offiziellen Webseite zu laden, Skype dort gleich online oder den Skype-Download auf pc-magazin.de zu nutzen. Wir halten die Version nach Möglichkeit immer auf dem aktuellen Stand.

Videoanleitung: Skype-Freiminuten von Office 365 aktivieren

Quelle: PC Magazin
Als Nutzer von Microsoft Office 365 erhalten Sie monatlich 60 Minuten Gesprächsguthaben fürs Festnetz. Im Video zeigen wir, wie Sie das Kontingent aktivieren.

Mehr zum Thema

Spam-Gefahr

Viele Skype-Nutzer werden derzeit von Spam-Nachrichten heimgesucht. Das rät Microsoft, um den Account zu sichern.
Security Intelligence Report

Laut der Microsoft-Sicherheitsanalyse sind Angriffe auf Accounts wie das Microsoft-Konto um 300 Prozent gestiegen. So schützen Sie sich vor Hackern.
Optionale Updates

Für das Windows 10 Mai 2020 Update kommt ein neuer Patch. KB4577063 löst Probleme mit Spiele-Audio, Mixed Reality, Windows Updates und mehr.
Abstürze, Installationsfehler und mehr

Mit KB4579311 und KB4577671 gab es fast vor einer Woche Updates für Windows 10 2004 und 1909/1903. Nutzer meldeten in der Zwischenzeit diverse…
Bugfixes, Flash-Ende und 21H2-Specs

Nach dem Patchday kommen optionale Updates für Windows 10. Wir fassen das Wichtigste zu KB4601380 (1909), KB4601383 (1809), KB4577586 (19xx) und mehr…